Как российские силовики получают доступ к смартфонам — этим, возможно, пользуются и белорусские силовики
Российские правозащитники нашли многочасовую видеозапись закрытой российской конференции экспертов по цифровой криминалистике Moscow Forensics Day. На ней специалисты из коммерческих компаний и силовых структур, в том числе Следственного комитета России, открыто обсуждали современные методы взлома устройств и аккаунтов. Издание «Медуза» проанализировало выступления.
Главный вывод из просмотренного материала: прорывных технологий для взлома современных, хорошо защищенных устройств у российских экспертов нет, но их методы позволяют понять, к чему стоит быть готовым.
Криминалисты из Следственного комитета России не могут закупать Cellebrite
Руководитель отдела НИИ криминалистики СК РФ в своем выступлении признала, что
российские криминалисты не могут закупать продукцию израильской компании Cellebrite. Это, пожалуй, самые известные в мире программно-аппаратные комплексы для взлома iPhone и Android-смартфонов. Например, именно с их помощью агенты ФБР быстро получили доступ к телефону человека, стрелявшего в Дональда Трампа.
Cellebrite официально прекратила продажи в Россию еще в марте 2021 года. Однако важно отметить, что даже после начала полномасштабного вторжения в Украину ФСБ использовала оборудование этой компании как минимум для изучения телефона автора телеграм-канала «Протестный МГУ». Это свидетельствует о том, что старое оборудование у них осталось, но получать новые версии и обновления официально они не могут.
Принудительная разблокировка по лицу или отпечатку пальца
Как следует из материалов конференции, в СК России в 2025 году разработана «Типовая методика экспертного исследования информации, содержащейся в мобильных устройствах и их компонентах».
Одно из нововведений — ходатайство о предоставлении доступа как к мобильному устройству, так и к памяти SIM-карты. Теперь криминалист может привлечь владельца устройства для прохождения биометрической идентификации. Проще говоря, просто поднести ваш телефон к вашему лицу, чтобы разблокировать его с помощью Face ID или приложить ваш палец к сканеру.
Доступ к облачным сервисам через найденные пароли
Если после разблокировки телефона российский эксперт находит в нем сохраненные логины и пароли для аутентификации на облачных сервисах и хранилищах, он не должен сам входить в ваши аккаунты, а немедленно сообщить о находке следователю. Именно последний будет принимать решение об использовании этих данных для доступа к вашей почте, облачным хранилищам (Google Drive, iCloud) и другим сервисам.
Рекомендации:
Пользуйтесь менеджерами паролей. Никогда не храните пароли в открытом виде (например, в текстовых файлах на телефоне или электронных таблицах на рабочем столе компьютера).
Не пересылайте пароли в мессенджерах. Если нужно поделиться доступом, используйте безопасные функции менеджеров паролей. Например, Proton Pass позволяет сгенерировать ссылку для конкретной записи, ограничив время ее существования (от одного часа до 30 дней) и максимальное количество показов (вплоть до одного).
Подбор паролей к архивам и документам
Для взлома зашифрованных архивов, офисных документов и других файлов российские эксперты массово используют одну и ту же программу с открытым кодом — hashcat. Она очень эффективно подбирает пароли, используя мощности видеокарт. Программа проверяет миллионы комбинаций в секунду, используя различные методы: от словарных атак до полного перебора (брутфорс).
Рекомендации:
Используйте длинные и сложные пароли для шифрования важных архивов и документов. Чем длиннее пароль, тем больше времени потребуется на его подбор.
Используйте ключи доступа (passkeys) вместо паролей везде, где это возможно (например, в Google, Apple ID). Эта технология невосприимчива к методам подбора, так как не основана на самом пароле.
Попытки взлома компьютеров Apple (macOS)
Существует миф о неприступности техники Apple, но российские специалисты пытаются его опровергать. Как рассказал на конференции сотрудник Судебно-экспертного центра Следственного комитета России, один из методов — это получение хэш-суммы пароля пользователя из системных файлов и дальнейший подбор с помощью того же hashcat.
Однако этот метод имеет критические ограничения.
Чтобы получить файл с хэшем пароля, необходимо иметь права администратора (root). Но на компьютере с одним пользователем, где включено стандартное шифрование диска (FileVault), вся эта затея становится бессмысленной.
На современных компьютерах Apple с криптографическим процессором Secure Enclave эта схема вообще не работает, так как безопасность обеспечивается на аппаратном уровне.
Таким образом, для владельцев современных Mac с включенным шифрованием эта угроза неактуальна.
Невозможность взлома «в лоб» современные Android-смартфоны
Эксперт из компании ACELab рассказал о попытках ускорить подбор паролей для современных Android. Там используется криптографический алгоритм scrypt, который намеренно имеет очень высокие требования к объему оперативной памяти.
Поэтому даже пароль из восьми символов, о котором ничего не известно, кроме длины, будет подбираться на хорошем современном процессоре, по подсчетам эксперта, около десяти тысяч лет.
Белорусские и российские силовые структуры тесно сотрудничают, обмениваются опытом и методологиями. Инструменты и подходы, которые сегодня используются в России, с высокой вероятностью уже применяются или скоро появятся на вооружении и в Беларуси. Поэтому понимание возможностей и пределов российских криминалистов позволяет оценить реальные риски и для белорусских пользователей.
Комментарии
[Зрэдагавана]